Operación Jaque Mate: Cómo los hackers perdieron 500 millones de dólares en una noche

Las fuerzas del orden llevaron a cabo una operación internacional para desmantelar la infraestructura digital de uno de los proyectos de ransomware más activos de la última década: BlackSuit. Esta organización cibercriminal estuvo detrás de cientos de ataques contra instituciones gubernamentales, corporaciones y otras entidades en todo el mundo. Ahora, sus sitios en la dark web, incluidas las plataformas de filtración de datos y páginas de negociación, han sido reemplazados por banners oficiales de incautación.

Según el Departamento de Justicia de EE.UU., la operación se desarrolló bajo el nombre en clave Operation Checkmate y fue autorizada por un tribunal. El trabajo principal lo realizó la unidad Homeland Security Investigations con la participación de agencias como el Servicio Secreto de EE.UU., la Agencia Nacional contra el Crimen del Reino Unido, la fiscalía de Fráncfort, la policía criminal estatal de Alemania y la Policía Nacional de los Países Bajos. En la operación también participó la empresa Bitdefender, aunque los detalles de su implicación aún no han sido revelados.

BlackSuit comenzó como Quantum en enero de 2022 y desde sus inicios tuvo vínculos con el legendario sindicato de ransomware Conti. Poco después, dejaron de utilizar cifradores de terceros y lanzaron el suyo propio: Zeon. En septiembre de ese mismo año, el proyecto adoptó el nuevo nombre de Royal, y tras el ataque a la ciudad de Dallas en 2023, volvió a cambiar de identidad a BlackSuit, acompañado de un nuevo cifrador.

Las agencias estadounidenses ya informaron en 2023 que Royal y BlackSuit usan tácticas idénticas, las mismas herramientas e incluso comandos de cifrado similares, incluyendo el uso de utilidades del sistema, programas administrativos remotos y un estilo coincidente en las notas de rescate. Esta continuidad permitió a los analistas vincular con precisión ambos nombres a una misma red criminal. Según estimaciones del FBI y la Agencia de Ciberseguridad de EE.UU., desde septiembre de 2022, más de 350 organizaciones fueron atacadas mediante Royal y BlackSuit, con pagos de rescate que superan los $500 millones.

Sin embargo, la historia no termina ahí. Investigadores de Cisco Talos informaron que el grupo probablemente se prepara para otra transformación. El nuevo alias previsto sería Chaos. El nivel de certeza sobre esta transición se considera “moderado”, pero se basa en coincidencias no solo en las tácticas y estructura de los requerimientos, sino también en la implementación técnica del cifrado.

Cambiar de nombre, sustituir herramientas y aplicar la llamada “personalización de amenazas” hace tiempo que forma parte de la estrategia de los grupos de ransomware para eludir la vigilancia, mantener el anonimato y preservar el valor asegurador de los datos filtrados. A pesar de los sonoros desmantelamientos, estas redes criminales rara vez desaparecen por completo: simplemente resurgen bajo otro nombre y continúan con sus actividades, sumando nuevas víctimas.

En un entorno donde estos grupos evolucionan constantemente, la lucha contra el ransomware se convierte en una carrera de desgaste, en la que cada victoria temporal es solo una pausa antes del próximo ataque. La Operación Checkmate fue un golpe doloroso para BlackSuit, pero mientras estas organizaciones cuenten con financiación, acceso a desarrolladores e infraestructura, seguirán encontrando nuevas formas de extorsión digital.